Pada 2 Juli, seorang korban menghubungi tim SlowMist setelah kehilangan aset kripto. Penyebabnya? Menjalankan proyek GitHub yang tampaknya sah — zldp2002/solana-pumpfun-bot. 🕳️Apa yang tampak aman ternyata adalah jebakan yang disamarkan dengan cerdik. Analisis kami mengungkapkan: 1️⃣Pelaku menyamarkan program berbahaya sebagai proyek open-source yang sah (solana-pumpfun-bot), memikat pengguna untuk mengunduh dan menjalankannya. 2️⃣Popularitas buatannya (bintang/garpu) menutupi ancaman — pengguna tanpa sadar menjalankan proyek Node.js dengan dependensi berbahaya yang disematkan, mengekspos kunci pribadi mereka dan kehilangan aset. Kombo sosial + teknis ini membuatnya sangat menipu. ⚠️Pengingat: Jangan pernah mempercayai proyek GitHub secara membabi buta, terutama jika kunci pribadi atau dompet terlibat. Jika Anda harus mengujinya, lakukan di lingkungan terisolasi kotak pasir tanpa data sensitif. 🔗Artikel lengkap: #Web3Security #NodeJS #OpenSourceSecurity #GitHub